AnuncioCronograma de implementación del EU AI Act: fechas clave para los implementadores
KLA Digital Logo
KLA Digital
AI Governance11 de febrero de 202613 min de lectura

Pistas de auditoría para agentes de IA: de los registros a la evidencia

Toda organización que opera agentes de IA dispone de registros, trazas y métricas. Sin embargo, esta abundancia de datos a menudo no logra responder las preguntas fundamentales de una auditoría. La brecha entre el registro operativo y la evidencia con calidad de auditoría exige replantear qué capturamos, cómo lo almacenamos y cómo verificamos su integridad.

Antonella Serine

Toda organización que ejecuta agentes de IA en producción tiene registros. Trazas. Métricas. Paneles repletos de datos sobre lo que hacen sus sistemas. Sin embargo, cuando llegan los auditores, los reguladores formulan preguntas o un incidente requiere investigación, esta abundancia de datos a menudo no logra responder las preguntas fundamentales: ¿Qué decisión se tomó? ¿Quién la aprobó? ¿Puede demostrar que la evidencia no ha sido modificada? La brecha entre el registro operativo y la evidencia con calidad de auditoría es enorme. Cerrarla exige replantear qué capturamos, cómo lo almacenamos y cómo verificamos su integridad. Esta es la evolución de los registros a los paquetes de evidencia, y es fundamental para resolver el cuello de botella en la gobernanza de IA.

La ilusión del registro

Las cadenas de herramientas modernas de desarrollo de IA generan cantidades impresionantes de datos de observabilidad. Cada llamada a un LLM crea trazas con conteos de tokens, latencias y versiones del modelo. Cada paso del agente registra entradas y salidas. Las organizaciones más sofisticadas añaden instrumentación personalizada, capturando prompts, respuestas y razonamientos intermedios.

Esto crea una ilusión de rendición de cuentas. Con todos estos datos, ¿no deberíamos poder responder cualquier pregunta sobre el comportamiento del sistema? La ilusión se desmorona en el momento en que se necesita demostrar algo de manera fehaciente.

Considere el siguiente escenario: su agente de IA aprobó una solicitud de crédito que el cliente ahora impugna. Alega que la decisión fue discriminatoria. Su equipo jurídico necesita demostrar que la decisión fue adecuada. ¿Qué puede mostrarles?

Sus trazas indicarán que se realizó una llamada al LLM en una determinada marca temporal. Mostrarán los tokens consumidos y la latencia. Pero, ¿pueden demostrar qué datos del cliente se consideraron? ¿Qué política regía este tipo de decisión? ¿Si esa política se aplicó realmente? ¿Quién revisó la decisión? Para la mayoría de las organizaciones, la respuesta es no.

Lo que realmente solicitan los auditores

Comprender la brecha requiere entender qué necesitan realmente los auditores, los reguladores y los equipos jurídicos. Sus preguntas se agrupan en cuatro categorías.

  • Linaje de la decisión: ¿Quién tomó esta decisión? En un contexto de IA: ¿qué versión del modelo, qué configuración del agente, qué reglas de política? Y, de forma crucial: ¿hubo intervención humana? De ser así, ¿quién intervino, cuándo y qué aprobó?
  • Evidencia de aplicación de políticas: Las organizaciones disponen de políticas que regulan el comportamiento de la IA. Los auditores quieren comprobar que estas políticas no solo se redactaron, sino que se aplicaron. Esto implica capturar evidencia en el punto de control de la política.
  • Verificación de integridad: Los auditores necesitan confiar en la evidencia. Si se les entregan archivos de registro, ¿cómo saben que los registros están completos? ¿Cómo saben que las entradas no fueron modificadas, eliminadas o fabricadas?
  • Reproducibilidad y contexto: Los auditores quieren comprender la decisión en su contexto. ¿Qué información estaba disponible en el momento de la decisión? ¿Cuáles eran las alternativas? ¿Por qué se seleccionó este resultado?

El concepto de paquete de evidencia

Un paquete de evidencia es un conjunto completo y verificado de todo lo necesario para demostrar que una decisión se tomó de manera adecuada. Es el producto de una infraestructura de gobernanza con calidad de auditoría. Un paquete de evidencia bien construido contiene cuatro capas. Los equipos suelen empaquetar estos artefactos como una exportación de la Sala de Evidencia para que los auditores puedan verificar la integridad de forma independiente.

  • Capa 1 - Registro de la decisión: El núcleo del paquete de evidencia captura el identificador de la decisión, la marca temporal, el tipo de decisión, el resultado y la clasificación de riesgo. Todo lo demás en el paquete de evidencia se relaciona con este registro.
  • Capa 2 - Contexto de entrada: ¿Qué información estaba disponible cuando se tomó la decisión? Datos de entrada, estado del sistema, versión del modelo, versiones de las políticas vigentes y contexto previo relevante para esta decisión.
  • Capa 3 - Evidencia de gobernanza: Esta capa captura los puntos de control de políticas (qué políticas se evaluaron y sus resultados), las aprobaciones humanas (quién, qué vio, qué decidió), las escalaciones y los eventos de anulación.
  • Capa 4 - Verificación de integridad: Manifiesto que enumera todos los artefactos, hashes criptográficos de cada artefacto, atestación de marca temporal y registros de cadena de custodia. Esto permite a los auditores verificar la evidencia de forma independiente.

Patrones de arquitectura para sistemas con calidad de evidencia

Construir sistemas que produzcan paquetes de evidencia en lugar de simples registros requiere decisiones arquitectónicas deliberadas.

  • Almacenamiento de solo adición: La integridad de la evidencia comienza con un almacenamiento que no pueda ser modificado. Los sistemas de almacenamiento de solo adición aceptan nuevos registros, pero no permiten la modificación ni la eliminación de los existentes. Una vez que la evidencia se escribe, no puede alterarse.
  • Captura sincrónica de evidencia: La evidencia debe capturarse en el momento de la decisión, no reconstruirse posteriormente. Cuando un punto de control de política realiza una evaluación, esta se escribe en el almacén de evidencia antes de que la decisión continúe.
  • Integridad criptográfica: Cada pieza de evidencia debe ser hasheada en el momento de su creación. El hash pasa a formar parte del registro de evidencia, permitiendo su verificación posterior. Considere anclar los hashes a sistemas externos para obtener garantías más sólidas.
  • Redacción y privacidad: Los paquetes de evidencia a menudo necesitan equilibrar la completitud con la privacidad. Aplique hash a los valores sensibles antes de almacenarlos. Esto permite demostrar que ciertos datos estaban presentes sin revelar los datos en sí.

La brecha en las herramientas actuales

Si examina el panorama actual de herramientas de desarrollo de IA, encontrará soluciones sofisticadas para la observabilidad, pero un soporte limitado para pistas de auditoría con calidad de evidencia.

Las plataformas de observabilidad de LLM destacan en la experiencia del desarrollador. Capturan trazas, facilitan la depuración y permiten la iteración de prompts. Sin embargo, están diseñadas para que los ingenieros comprendan el comportamiento del sistema, no para que los auditores verifiquen la gobernanza.

Las plataformas de ML hacen seguimiento de experimentos, versiones de modelos y datos de entrenamiento. Esto es valioso para la reproducibilidad en el desarrollo, pero no captura la gobernanza de las decisiones en producción.

La brecha existe porque la evidencia con calidad de auditoría es un requisito diferente al de la observabilidad operativa. Se puede tener una observabilidad excelente y aun así no superar una auditoría. El mercado apenas comienza a reconocer que se trata de capacidades distintas que requieren soluciones distintas.

Construya su estrategia de evidencia

Para las organizaciones comprometidas con la preparación para auditorías de IA, recomendamos un enfoque por fases para desarrollar la capacidad de evidencia.

  • Fase 1 - Defina sus requisitos de evidencia: Comience por comprender qué necesitará demostrar. ¿Qué decisiones conllevan riesgo de auditoría? ¿Qué regulaciones aplican? Vincule cada tipo de decisión con sus requisitos de evidencia.
  • Fase 2 - Instrumente los puntos de decisión: Identifique los puntos de decisión en sus agentes de IA donde debe capturarse evidencia. Construya instrumentación que capture evidencia en estos puntos como parte del flujo de trabajo, no como un sistema separado.
  • Fase 3 - Construya la infraestructura de integridad: Implemente almacenamiento de solo adición para la evidencia. Añada hashing criptográfico y generación de manifiestos. Considere el anclaje externo de marcas temporales para evidencia de alto impacto.
  • Fase 4 - Operacionalice la exportación de evidencia: Desarrolle la capacidad de exportar paquetes de evidencia bajo demanda. Cree formatos estándar con los que los auditores puedan trabajar. Incluya herramientas de verificación para que los auditores puedan comprobar la integridad de forma independiente.

El imperativo regulatorio

El Reglamento Europeo de Inteligencia Artificial establece los requisitos de evidencia de forma explícita. Para conocer los mecanismos de supervisión vinculados al Artículo 14, consulte Autonomía responsable. El Artículo 12 exige capacidades de registro que garanticen la trazabilidad adecuada al propósito previsto del sistema de IA. El Artículo 17 requiere sistemas de gestión de calidad con documentación de acciones correctivas. El Artículo 20 exige que los registros de los logs automáticos se conserven durante un período adecuado al propósito previsto.

No se trata de aspiraciones vagas, sino de requisitos que los reguladores verificarán. Las organizaciones que operen sistemas de IA de alto riesgo en la UE deberán demostrar su cumplimiento.

El plazo de agosto de 2026 para los sistemas de IA de alto riesgo se acerca. Las organizaciones que no hayan construido una infraestructura de evidencia se enfrentarán a decisiones difíciles: implementar a toda prisa, restringir el despliegue de IA a casos de uso de riesgo mínimo o asumir el riesgo de incumplimiento.

Preguntas frecuentes

¿Qué es un paquete de evidencia?

Un paquete de evidencia es un conjunto completo y verificado de todo lo necesario para demostrar que una decisión de IA se tomó de manera adecuada. Incluye cuatro capas: el registro de la decisión en sí, el contexto de entrada que muestra qué información estaba disponible, la evidencia de gobernanza que demuestra que las políticas se aplicaron y que hubo intervención humana cuando fue necesario, y la verificación de integridad que permite comprobar de forma independiente que la evidencia está completa y no ha sido modificada.

¿Por qué los registros estándar son insuficientes para las auditorías de IA?

Los registros estándar capturan la ejecución técnica (marcas temporales, conteos de tokens, latencias), pero no la gobernanza de las decisiones. No pueden demostrar qué políticas estaban vigentes, si se aplicaron, quién aprobó las decisiones ni si la evidencia está completa y no ha sido modificada. Los auditores necesitan evidencia que demuestre la rendición de cuentas, no solo datos que describan la ejecución.

¿Qué es el almacenamiento de solo adición y por qué es importante?

El almacenamiento de solo adición acepta nuevos registros, pero no permite la modificación ni la eliminación de los existentes. Esto se garantiza mediante la arquitectura de almacenamiento, no solo mediante políticas. Es importante porque la integridad de la evidencia requiere la prueba de que los registros no han sido alterados. Si los auditores no pueden confiar en que los registros están completos y no han sido modificados, la evidencia carece de valor.

¿Cómo afecta el Reglamento Europeo de Inteligencia Artificial a los requisitos de las pistas de auditoría?

El Artículo 12 del Reglamento Europeo de Inteligencia Artificial exige capacidades de registro que garanticen la trazabilidad. El Artículo 17 requiere documentación del sistema de gestión de calidad. El Artículo 20 exige la conservación de registros durante períodos adecuados. Las organizaciones que operen sistemas de IA de alto riesgo deben demostrar el cumplimiento de estos requisitos, lo que convierte la infraestructura de evidencia con calidad de auditoría en una necesidad regulatoria.

Conclusiones clave

La transición de registros a paquetes de evidencia representa una maduración en la forma en que las organizaciones conciben la rendición de cuentas en materia de IA. Los registros eran suficientes cuando la IA era experimental, cuando las implicaciones eran bajas, cuando los auditores aún no prestaban atención. Esos días están llegando a su fin. Los agentes de IA toman decisiones con consecuencias reales para personas reales. Los reguladores están estableciendo requisitos con mecanismos de aplicación reales. La evidencia debe convertirse en una prioridad de primer orden en el diseño de sistemas de IA. Las organizaciones que desarrollen esta capacidad podrán desplegar IA con confianza, sabiendo que pueden demostrar una gobernanza adecuada.

Recursos relacionados

Ejemplo de Sala de EvidenciaEl cuello de botella en la gobernanza de IAGuía de autonomía responsableGlosario de pistas de auditoríaPlantilla del plan de vigilancia poscomercializaciónCentro del Reglamento Europeo de IAEjemplo de paquete de evidenciaSolicitar una demostración

Artículos relacionados

Más sobre AI Governance

Autonomía responsable: supervisión para agentes de IA

El debate sobre la supervisión humana se plantea a menudo como una falsa dicotomía: o los humanos revisan cada decisión o la IA opera de forma autónoma. Una supervisión eficaz consiste en disponer de los controles adecuados en los momentos oportunos, con una rendición de cuentas clara. Esto es la autonomía responsable.

El cuello de botella de la gobernanza de IA: por qué se estanca la adopción de agentes

La adopción empresarial de agentes de IA no está limitada por la capacidad técnica, sino por la capacidad de gobernanza. Las organizaciones pueden construir agentes de IA más rápido de lo que pueden aprobarlos, supervisarlos y auditarlos. Cerrar esta brecha de gobernanza requiere tratarla como infraestructura habilitadora.

Shadow AI: El riesgo oculto de cumplimiento en su organización

Cómo las herramientas de IA no autorizadas crean puntos ciegos de cumplimiento bajo el Reglamento Europeo de Inteligencia Artificial. Aprenda a identificar, inventariar y gobernar la shadow AI antes de que los reguladores la descubran.

Artículo anterior

Mapeo del Artículo 17 en prEN 18286: Cobertura, Lagunas e Implicaciones para la Auditoría

Artículo siguiente

prEN 18286 vs ISO 9001 vs ISO/IEC 42001: Qué cambia realmente

Véalo en acción

¿Listo para automatizar su evidencia de cumplimiento normativo?

Reserve una demostración de 20 minutos para ver cómo KLA le ayuda a demostrar la supervisión humana y exportar documentación de Annex IV lista para auditoría.

Reserve una demostración Ver Evidence Pack